lunes, 10 de noviembre de 2014

Hack&Beers Team - De CON en beers y de beers en CON

Por fin terminó Octubre, el mes de los eventos de Seguridad. Y es que para aquellos que estamos interesados en todo este tipo de eventos, hemos podido disfrutar de un amplio abanico de posibilidades durante este mes.

A continuación voy a intentar hacer un resumen cronológico de como el equipo de Hack&Beers nos hemos recorrido parte de España y más allá, entre conferencias, beers y otros eventos de seguridad.

Empezamos el mes de Octubre con la WordPress Meetup en Córdoba, donde Miguel Ángel Arroyo y un servidor dimos charlas sobre seguridad, en este caso Miguel presento su plugin de WordPress para bloqueo de IPs maliciosas - MalTOR y yo expuse los fallos más comúnes de seguridad en WorPress y posibles capas de seguridad. 







En esos mismos días tuvo lugar el congreso que ya va por su IV Edición, Navaja Negra (días 2, 3 y 4 de Octubre) en Albacete, donde nuestro compañero de Hack&Beers Madrid, Pablo González estuvo y nos comenta que las cosas a destacar de este evento, además de la calidad de los ponentes, es el gran número de amigos que se hace y el hermanamiento por encima de todo.


Vamos adentrándonos en el mes y tenemos unas señoras jornadas tecnológicas a modo de Lan Party en la ViLANeT (días 9 al 12 Octubre), en las cuales nuestro compañero Miguel Ángel Arroyo dio un taller de Hacking Ético. Las jornadas fueron un éxito y hubo muchas beers entre hack y hack.



En esos días también tuvo lugar el primer Hack&Beers Madrid (día 10 de Octubre) con nuestros compañeros Pablo González y Juan Antonio Calles, donde hubo ponencios de un altísimo nivel, con ponentes como Dani Martínez, Rafa Sánchez o el propio Juan Antonio Calles. Sobre ese evento hicimos una entrada especial y se publicó el Making Off del evento.



Los días 23 y 24 de Octubre se celebró también en Jaén el III edición del congreso de seguridad ConectaCon, de manos de nuestro amigo Raimundo Alcázar, nuestro dinamizador de Hack&Beers Jaén (Tapas Edition). Aquí también tuvimos a Miguel Ángel Arroyo con taller de Hacking Ético y ponencias muy interesantes de la mano de grandes ponentes. Hubo muy buenos momentos con muchos amigos, Jesús Marín y Rafa Otal entre otros de Hack & Beers Huesca. En esta ocasión nos acompañaron los alumnos de mi propio centro. 




Estos mismos días, 23 y 24 de Octubre, nuestro compañero Pablo González se nos fue al otro lado del charco hasta Santiago de Chile, donde participó en el congreso 8.8 con numerosos ponentes de gran calidad. Allí presentó su ponencia sobre ciberguerra.


Llegaba final de mes y se acercaba un evento diferente, el primer Hack&Beers Lleida, y el primer Hack&Beers donde el Hack y las Beers se fusionan, tuvo lugar el 30 Octubre en el parque tecnológico de Lleida, evidentemente se llevo a cabo en la cafetería-restaurante QRCafe PCital del parque tecnológico.


Pudimos disfrutar de ponencias sobre Hacking en IOS y Android, así como una gran ponencia sobre seguridad Web a cargo de Marc Pàmpols.






Los días siguientes (1 y 2 de Noviembre) aprovechamos para asistir al congreso de seguridad NoConName en Barcelona junto a muchos amigos. Grandes ponencias para el congreso de seguridad más antiguo de España, y Hack&Beers no podía faltar a la cita.






Ya terminó el mes de Octubre, y los viajes de aquí para allá. Por ello los primeros días de mes (día 6 de Noviembre) los amigos de HangoutON pensaron en nosotros para que contásemos la historia y la filosofía de Hack&Beers sin movernos de nuestra casa. Celebramos el primer Hack&Beers online con los amigos de HangoutON.




En ella participamos parte del equipo de Hack&Beers de toda España, faltaban bastantes personas, pero estos son los que estábamos: 

Si tienes interés en ver como trabajamos o como puedes montar un Hack&Beers en tu ciudad, ponte en contacto con nosotros en el twitter @hackandbeers.

Bueno chicos, que más se puede pedir, un mes completito y lleno de nuevas experiencias rodeados de amigos. Para terminar informaros que tenemos en cuestión de una semana 3 eventos Hack&Beers planeados por diferentes zonas de España:

Hack&Beers Valencia - 18 Noviembre (Apúntate aquí)


Hack&Beers Huesca (Tamarite) - 18 Noviembre (Apúntate aquí)


Hack&Beers Córdoba Vol. 4 - 20 Noviembre (Apúntate aquí)


Un handshake para todos !! Y a disfrutar de los diferentes Hack&Beers por toda España.

Recordad que tenéis disponible nuestra camiseta en:

Estar atentos porque próximamente tenemos Hack&Beers Barcelona, Jaén, Madrid y algunos más.

Crecemos - Hack&Beers Team by @eduSatoe

"Los locos abren los caminos que más tarde recorren los sabios"
Carlo Dossi

sábado, 11 de octubre de 2014

Primer Hack&Beers Madrid #hbmad

En el día de ayer un ejercito de hackers se reunió en las instalaciones del Centro de Viveros de la Universidad Rey Juan Carlos de Móstoles para asistir a la primera Hack&Beers Madrid de la mano de Pablo González y Juan Antonio Calles.


El evento había despertado mucha expectación y se congregaron allí más de 50 hackers, entre los que había 4 mujeres, todo un logro, ya sabéis: "No Woman No Win" Cartel de lujo de ponentes con Daniel Martínez, Rafael Sánchez y Juan Antonio Calles Y entre el público personalidades tan conocidas en el mundo de la seguridad como Angelucho , Claudio Caracciolo o Chema Alonso entre otros muchos. 


Uniformes de trabajo de los organizadores y comenzábamos la Hack&Beers Madrid.



Comenzaba Juan Antonio Calles su charla sobre "Hacking without hacking" y nos enseñaba diferentes técnicas sobre el proceso de Information Gathering sobre como utilizar los operadores de Google Hacking o el uso de Web tan interesantes como: netcraft.com , cuwhois.com , chatox.com y archive.org entre otras.



Seguía nuestro amigo Daniel Martínez como su charla "Conociendo Rapsberry Pi y Desarrollo de Aplicaciones" donde nos enseñó como montar un fake AP con un Rapsberry Pi con su propio servicio Web para robar credenciales mediante Ingeniería Social.



Por último era el turno de Rafael Sánchez con su charla sobre Seguridad en IPv6, donde dió un repaso a las peculiaridades del protocolo y  nos mostró un ejemplo de tunelización de tráfico IPv6 sobre IPv4.


Y tras finalizar la parte del Hack nos fuimos de Beers para hacer networking de calidad entre todos los asistentes. Grandes profesionales y mejores personas !!



Todo un éxito el evento que será el primero de muchos en Madrid.


Pronto tendréis el Making off del evento con mucho hacking, muchas beers y sobre todo muy buen rollo. Podéis ver todos los tweets del evento con el hashtag #hbmad.

Gracias a todos por vuestras ganas y gracias sobre todo a Pablo y Juanan !!

Un handshake de @eduSatoe

"Lo mejor de cualquier Hack&Beers es conococer gente que comparte tus locuras e inquietudes. Momento networking !!"

lunes, 6 de octubre de 2014

HangoutON comprometidos con la seguridad

Hoy os vengo a presentar la maravillosa iniciativa HangoutON , aunque pocos serán serán los que no la conozcan. Los responsables de esta idea son Antonio Postigo y Yolanda Corral, dos apasionados de las redes sociales con la visión puesta en los contenidos de calidad y con una apuesta personal por lo audiovisual

HangoutON es un canal divulgativo en el cual realizan charlas online de manera distendida todos los jueves a las 22h. Dentro de estas charlas, todos los primeros jueves de mes lo dedican a la seguridad, pudiendo encontrar en su canal de Youtube un gran número de videos con contenidos muy interesantes.

Hace unas semanas ya pudimos ver a nuestro compañero Miguel Ángel Arroyo hablando de Seguridad en la nube junto con otros grandes profesionales del sector.


Esta pasada semana he sido yo el que ha tenido el placer de participar en este fantástico canal hablando de Estafas en Internet y malware. Donde además de hablar de seguridad he pasado unos momentos muy buenos en el backstage de HangoutON con gente tan profesional y "pirata" como Roberto López y Eduardo Arriols de HighSec, Luis Saiz uno de los resposables de seguridad de BBVA o Cristobal del Pino consultor de seguridad de Mkit Argentina. Grandes personas y grandes profesionales.


Desde aquí queremos darle las gracias y la enhorabuena a Yolanda y Antonio por los contenidos que desarrollan cada semana y la cantidad de horas de trabajo de manera altruista que se pegan, todo para crear contenidos de calidad y que el resto de personas puedan acceder a ellos, fomentando la participación y desarrollo de la tecnología día a día

Gracias por contar con Hack&Beers en vuestras charlas y espero nos veamos pronto por Málaga o Valencia !!

Un handshake by eduSatoe.

"La mente es igual que un paracaidas, sólo funciona si se abre"
Albert Einstein

viernes, 12 de septiembre de 2014

Hack&Beers - Making off

Como algunos ya sabéis, la filosofía Hack&Beers va creciendo de manera increíble, son muchas las peticiones que recibimos desde todas las partes de España para montar eventos y también algunas del extranjero. Poco a poco iremos incorporando cada vez más dinamizadores en otras zonas, por ahora tenemos todos los que vemos en el mapa.


Agradeceros a todos el interés y las ganas que mostráis día a día. Hace ya unas semanas presentamos nuestra promo de Hack&Beers que podéis ver en el siguiente enlace: "Hack&Beers The Originals"

Ya tenemos disponibles los polos y covers de Hack&Beers, contactar conmigo en @eduSatoe para los pedidos. Os recuerdo que somos una organización sin ánimo de lucro y el precio de los polos y covers es sólo para cubrir su coste.



El motivo de este post no es otro sino el de presentaros nuestro "Making off" del último evento que tuvo lugar el 30 de Julio en Córdoba y que pese a ser período vacacional recibió una aceptación impresionante. Dar las gracias a un profesional en la materia como @powi_ban por su trabajo desinteresado.


Gracias a todos y os esperamos en el próximo Hack&Beers. Y ya sabéis #Hack #Amigos y #Beers.

Un handshake !!


"El genio se hace con 1% de talento y un 99% de trabajo"
Albert Einstein

jueves, 7 de agosto de 2014

Un Abogado 2.0 en la Hack&Beers

Cada día son más los juristas que intervienen en ponencias de Seguridad, prueba de ello es la magnífica intervención del Fiscal de Delitos Informáticos en Gipuzkoa, Jorge Bermudez, en la pasada RootedCon 2014. Esto ha hecho ver a muchos las necesidades que se encuentran a día de hoy en la justicia en el campo de la Seguridad de la Información .


El artículo de hoy va dirigido a un profesional de la materia, uno de nuestros amigos que no falta nunca a una cita de Seguridad en las Hack&Beers, él es nuestro abogado particular, Rafael Perales Cañete, el cual nos ha contestado muy amablemente a unas serie de preguntas.

Rafael se define como un abogado 2.0, lleva ejerciendo en su despacho - Derecho más Informática D+I - desde 1996. Dentro de su extenso curriculum podemos dectacar que es miembro de la APEP (Asociación Profesional Española de Privacidad) y de ENATIC (Expertos nacionales de la Abogacía TIC). Entre sus especialidades se encuentran el Derecho Administrativo, Privacidad y Protección de Datos y actualmente está ampliando su campo a la seguridad de la información.

Rafael nos cuenta que "no pierde contacto con el resto del derecho, ya que la seguridad de la información y todas las ramas del derecho tienen que ver con las tecnologías de la información y la comunicación".



Sus comienzos en la Seguridad Informática.

"Desde que vi un ordenador. Un compañero en la mili me enseñó a modificar el antiguo comand.com en formato hexadecimal y a cambiar la orden copy por delete" - menudo compañero peligroso - "A partir de ahí ya empecé a ver la primigenia ingeniería social que incitaba a ejecutar archivos ocultos en los antiguos disquetes de 3.5"

"Mi preocupación por la seguridad ha ido pareja a la progresiva adquisición de conocimientos informáticos: mientras más sabía más comprendía las vulnerabilidades, y de igual forma me daba cuenta de que los usuarios solamente usaban la tecnología parcial e inconscientemente" - Rafael se planteó estudiar informática pero al final se decidió por el derecho. Los códigos, las leyes y la jurisprudencia sustituyeron a los libros de informática.

Percepción de la realidad de los colegas de profesión.

Según Rafael habría que distinguir entre dos tipos  de abogados: los que utilizan la tecnología TIC "voluntariamente" y a los que “se les ha obligado” a utilizarla. Nos comenta que "El grupo que le gusta y usa las nuevas tecnología tiene un nivel bajo y sólo a nivel de usuario" - no llegan al aprobado - "El resto literalmente se queja constantemente de la 'modernidad' " - los puntúa con un valores por debajo de cero -.

Las necesidades que Rafael percibe entre colegas de profesión son totales, nos comenta que no hacen copias de seguridad, tienen ordenadores antiguos con programas desactualizados - apuesto que XP forever -, envían sentencias penales por cuentas de correo públicas y sin cifrar y un largo etcétera.

Comenta sobre sus colegas que "No tienen percepción de la realidad, temen de forma difusa 'lo que te pueden hacer' pero prefieren ignorarlo". Un abogado le comentó literalmente "he dejado de leer lo que pones en la revista porque me da miedo y parece que no puedo hacer nada de lo que hago".

Medidas de Seguridad que utiliza Rafael.

Las medidas de seguridad que utiliza Rafael son dignas de admiración, más de un administrador de sistemas debería recapacitar. Aquí van algunas de las que utiliza:

  • Copias del sistema.
  • Discos clonados.
  • Cifrado de discos.
  • Copias en Usb y hd de portátiles.
  • Antivirus de pago.
  • Firewall.
  • Antimalware
Nos comenta que hace caso de las medidas que pone el RD 1720/2007, las que le aconsejan sus informáticos y las que le damos el equipo de Hack&Beers. Como dice Rafael, "Todas son pocas, no se puede asegurar nunca al 100%" y hace alusión a una frase muy conocida en el mundo de la seguridad y que he utilizado en alguna jornada de Hack&Beers "una frase que te oído y que me parece genial es 'la seguridad de un sistema es igual a la seguridad de su punto más débil'"


Otra de las medidas que también utiliza Rafael, y en los tiempos que corren me parece fenomenal, es la siguiente, y cito sus palabras textuales ante la pregunta de por qué no utiliza Whatsapp: "Respecto a lo de  Whatsapp lo utilizo con un dispositivo con número de tarjeta y con tres contactos en la libreta del teléfono"

El abogado de la Hack&Beers y las vulnerabilidades presentes en su profesión.

"Me encanta que me llaméis el abogado de H&B, quiero aprender más sobre tecnología y quiero enseñaros más sobre derecho: nuestra simbiosis será perfecta, y es la nueva filosofía de mi despacho (Derecho más Informática)"

Las vulnerabilidades que ve presentes en el ámbito de su profesión son todas las que nos podamos imaginar:
  • Envio de la declaración de un imputado por whatsapp.
  • Redes inalámbricas desprotegidas o con configuración por defecto.
  • Ausencia de copias de seguridad.
  • Ausencia de antivirus.
Encuentra también mucha falta de formación en aspetos como certificados digitales y nos comenta que "ya mismo tendremos que firmar mucho digitalmente para relacionarnos con la Administración electrónica y con los juzgados vía LexNet y PenalNet y ni siquiera saben lo que es eso". Curiosamente "algunos llaman 'la tarjetita' al certificado ACA –Autoridad de la Certificación de la Abogacía- presente en el chip criptográfico de nuestro carnet colegial"

El derecho siempre va por detrás de la sociedad.

Respecto a vacíos legales y necesidades presentes en la actualidad, Rafael nos comenta la ponencia del fiscal Jorgue Bermudez comentada anteriormente, donde nos dice: "Ha definido muy bien el problema del 197.3 del Código Penal que penaliza a todos los hackers sin distinción". Rafael encuentra incongruencias en la legislación, "como la de la Ley 25/2007, de conservación de datos, que la hace inoperante al tratar solo de delitos graves".

También explica que existe mucha normativa: firma digital, administración electrónica, protección de datos, etc … y que algunas leyes nacen ya antiguas, como ejemplo nos comenta la regulación del RLOPD de los soportes informáticos.

Sin embargo hay un poco de esperanza y comenta que "Surgen y aparecen tímidamente las TICs en la legislación: por ejemplo en la LAU se incorpora la posibilidad de que arrendador y arrendatario puedan notificarse por correo electrónico, en la ley de sociedad de capital se regula la convocatoria web de una junta general..."

Todos estos temas son objeto de estudio en su despacho Derecho más Informática D+I, podéis encontrar mucha más información en su Web http://derechomasinformatica.es/

Curiosidades en un caso real con un dispositivo Android.

Rafael nos comenta uno de los últimos casos en los que ha estado trabajando: "caso de mula de paypal, con una conexión WiFi y usando ingeniería social hicieron que instalasen un programa en  un dispositivo Android para pagar la cuota de Whatsapp y tomaron su número de cuenta corriente para realizar estafas en su nombre"

Necesidad de formación en Seguridad de la Información.


Rafael comenta que la formación sobre Seguridad de la Información "Es uno de mis caballos de batalla en la comisión para los alumnos del Máster de la Abogacía y de la Escuela de Prácticas, obviamente también en la Universidad de Córdoba. En nuestra ciudad no son receptivos a ningún tipo de formación ni en seguridad informática ni en el uso de TICs. Los abogados ven esencialmente al ordenador como una máquina de escribir y al correo electrónico como un sustituto del fax"

Nos comenta un caso curioso de una joven abogada , la cual le preguntó hace unos meses que dónde compraba los códigos (Código Penal, Civil, Estatuto Trabajadores, etc) "¡Ella no tenía base de datos de legislación y no sabía manejar la que pone el Colegio de Abogados en la Biblioteca. No saben buscar por Internet ni los boletines oficiales..."

Casos de delitos informáticos más comunes.


"Por ahora lo que más me consultan son sobre aportación de pruebas en soportes digitales. Surgen casos sobre injurias, ciberacoso, difusión de pornografía infantil... Los compañeros me consultan y ni siquiera me pasan los asuntos porque no consideran que sea necesario un abogado especialista en TICs"

Conclusiones.

"Venimos del siglo XIX, continuamos en dicho siglo y caminamos hacia el precipicio."

Pues con esas palabras se despide Rafael y le damos la enhorabuena porque es un placer tratar con personas tan interesadas y comprometidas con la seguridad de la información. Espero os haya resultado interesante.

Un handshake desde el equipo de Hack&Beers !!

"Todavía no he visto un abogado que defienda y asesore a los hackers"

Rafael Perales Cañete

viernes, 1 de agosto de 2014

Hack & Beers - Disfrutando de lo que nos gusta !!

Impresionante la jornada de Hack & Beers Vol. 3 Web Security del pasado Miércoles 30 de Julio en las instalaciones de Cosfera, donde se congregaron un gran número de personas aún siendo período vacacional, más las que nos siguieron a través de streaming.


El evento tenía un gran atractivo, charlas de Hacking en un ambiente distendido y de buen rollo, para después pasar un rato de convivencia con unas cervecitas en la mano. Todo ello rodeado de gente entregada y con los mismos intereses profesionales.

Comenzó la sesión con la primera charla a cargo de Carlos García (@ciyinet) con "Auditando CSRF". Carlos nos mostró un ejemplo de esta vulnerabilidad haciendo uso un chat de una Web donde había varias sesiones de usuarios, para ello uso la herramienta Burpsuite. Vimos el alcance que tiene así como las posibles soluciones para que nuestra Web no se vea afectada por ella.

Podéis ver en el siguiente enlace la charla: "Auditando CSRF"


En la segunda charla de "SQLi y Backdoors para Script Kiddies" a cargo de un servidor, Eduardo Sánchez (@eduSatoe) explicó con una Web, donde se logueaban usuarios, como funciona la vulnerabilidad que está en el número uno del top ten de OWASP (SQL injection) y lo fácil que una persona sin conocimientos y con una simple aplicación en su PC (sqlmap) o en su Android (DroidSQLi) puede aprovecharse de ella. Además se hizo uso de un backdoor muy conocido como es c99 para aprovecharse de vulnerabilidades RFI (Remote File Inclusion).

Podéis ver en el siguiente enlace la charla: "SQLi y Backdoors para Script Kiddies"
También podéis descargar el pdf de la charla, así como el código fuente y la bd de la Web vulnerable utilizada como ejemplo:




La última charla a cargo de Miguel Ángel Arroyo (@Miguel_Arroyo76) , trato sobre la seguridad en los servidores de almacenamiento en la nube. Con el nombre de "Lo que el ojo no ve" nos enseñó como existen servidores de "primera división" y otros de "segunda división", o lo que es lo mismo, pudimos comprobar la seguridad entre servidores dedicados y servidores compartidos.

Podéis ver en el siguiente enlace la charla: "Lo que el ojo no ve"


Una vez terminadas las charlas y las correspondientes preguntas en cada una de ellas pasamos a la segunda parte del evento, las beers, donde pasamos un buen rato de convivencia con una beer en la mano bien fresquita como podemos ver en la foto.


El equipo de Hack & Beers quiere agradecer el interés de todos los asistentes, ya que teníamos gente no sólo de Córdoba y provincia, sino también de Jaén, Granada e incluso de Francia, que aprovechando las vacaciones en Sevilla se habían desplazado para disfrutar del evento. Mucha gente también a través de streaming: Galicia, Pais Vasco, Madrid, Barcelona, Valencia y Colombia entre otros. Mil gracias también a los amigos de Cosfera, que siempre se vuelcan con nosotros en estos eventos y son uno más del grupo.


Por último anunciaros que en Hack & Beers crecemos, ya no sólo tendremos ponencias y charlas interesantes en Córdoba sino también en Madrid y Barcelona de la mano de personas tan importantes en este mundillo como Pablo Gonzalez y Juan Antonio Calles de Flu Project (Madrid) y Marc Rivero López de SysSec (Barcelona), próximamente anunciaremos novedades en twitter @hackandbeers.


Un handshake para todos

Seguiremos disfrutando de lo que nos gusta con muchos más Hack & Beers !!